L’Attacco al Bridge KelpDAO e l’Analisi di LayerZero Labs
LayerZero Labs ha pubblicato un rapporto dettagliato sull’attacco al bridge KelpDAO, confermando che circa 292 milioni di dollari in rsETH sono stati rubati dopo che gli attaccanti hanno compromesso l’infrastruttura RPC utilizzata dalla rete di verifica e hanno sfruttato una configurazione single-signer. Secondo il rapporto, gli attaccanti hanno rubato approssimativamente 116.500 rsETH, compromettendo l’infrastruttura a valle collegata al livello di verifica utilizzato nella configurazione cross-chain di KelpDAO.
LayerZero ha sottolineato che l’incidente era limitato alla configurazione rsETH di KelpDAO perché l’applicazione si affidava a una configurazione DVN 1-of-1 con LayerZero Labs come unico verificatore, un design che contraddice direttamente le raccomandazioni consolidate dell’azienda di utilizzare setup multi-DVN diversificati con ridondanza. LayerZero ha affermato che non c’è stato
“alcun contagio ad altri asset cross-chain o applicazioni”
, sostenendo che l’architettura di sicurezza modulare del protocollo ha contenuto l’impatto nonostante il fallimento di una singola configurazione a livello di applicazione.
Meccanica dell’Attacco e Risposta di Sicurezza
L’attacco del 18 aprile 2026 ha preso di mira l’infrastruttura RPC su cui si affidava il DVN di LayerZero Labs, piuttosto che sfruttare il protocollo LayerZero, la gestione delle chiavi o il software DVN stesso. Gli attaccanti hanno ottenuto accesso all’elenco di RPC utilizzati dal DVN, hanno compromesso due nodi su cluster separati, hanno sostituito i binari sui nodi op-geth e hanno utilizzato payload dannosi per fornire dati di transazione falsificati al verificatore mentre restituivano dati corretti ad altri endpoint, inclusi i servizi di monitoraggio interno.
Per completare l’exploit, gli attaccanti hanno lanciato attacchi DDoS su endpoint RPC non compromessi, attivando il failover verso i nodi avvelenati e permettendo al DVN di LayerZero Labs di confermare transazioni che non si erano mai effettivamente verificate. L’analisi forense esterna di Chainalysis ha confermato questa descrizione, collegando l’exploit al Lazarus Group della Corea del Nord, specificamente al gruppo TraderTraitor.
Chainalysis ha confermato che gli attaccanti non hanno sfruttato un bug di smart contract, ma hanno falsificato un messaggio cross-chain avvelenando i nodi RPC interni e sopraffacendo quelli esterni in una configurazione con un singolo punto di fallimento.
Misure Correttive e Implicazioni Future
LayerZero ha risposto immediatamente eliminando e sostituendo tutti i nodi RPC interessati, ripristinando il DVN di LayerZero Labs al funzionamento e contattando le agenzie di applicazione della legge mentre collaborava con partner del settore e Seal911 per tracciare i fondi rubati.
Più importante ancora, l’azienda sta modificando il modo in cui gestisce le configurazioni rischiose. LayerZero ha affermato che il suo DVN
“non firmerà o attesterà messaggi da nessuna applicazione che utilizzi una configurazione 1/1”
, un cambiamento politico diretto volto a prevenire il ripetersi del fallimento di KelpDAO. L’azienda sta inoltre contattando i progetti che utilizzano ancora configurazioni 1/1 per migrarli a modelli multi-DVN con ridondanza, riconoscendo che la flessibilità di configurazione senza protezioni di sicurezza applicate era eccessivamente permissiva.
Nexus Mutual ha confermato che il messaggio falsificato ha drenato 292 milioni di dollari dal bridge di KelpDAO in meno di 46 minuti, rendendolo una delle più grandi perdite DeFi del 2026. Questo incidente rappresenta una lezione cruciale per l’infrastruttura cross-chain: gli smart contract possono rimanere intatti e il protocollo può comunque fallire nella pratica se il livello di fiducia off-chain è insufficiente.
LayerZero sostiene che la giusta conclusione da trarre da un furto di bridge da 292 milioni di dollari non è che la sicurezza modulare ha fallito, ma che permettere a chiunque di eseguire una configurazione single-signer era il vero errore.
